[发明专利]一种安全密码模块分片虚拟化方法及系统

说明书

本发明公开了一种安全密码模块分片虚拟化方法及系统，该方法包括如下步骤：设备模拟，为虚拟机内部提供虚拟PCIE设备；地址翻译，将GPA转换为HPA，并且将DMA缓冲区固定在主机内存中，直通给虚拟机使用；虚拟密码模块内存队列初始化，为每一个虚拟密码模块的共享BAR空间中分配一组内存队列，并初始化其中的密码请求描述符；密码运算请求提交；密码运算请求优先级冲裁，实现基于优先级的密码请求任务调度；密码运算请求执行；密码运算请求完成通知。本发明具有便于部署便于移植的特性。

技术领域

本发明涉及计算机I/O虚拟化技术领域，尤其涉及一种安全密码模块分片虚拟化方法及系统。

背景技术

密码模块（cryptographic module）是2018年经全国科学技术名词审定委员会审定发布的计算机科学技术名词。定义为相对独立的软件或硬件模块，它完成密码运算功能并提供调用接口。硬件物理形态通常为PCI-E插卡式密码模块、USB密码模块、或集成在处理器SOC内的密码模块；以及非物理形态的软件密码模块。它以应用程序接口的方式为计算机应用系统提供各种安全保密服务、包括数据加密、数字签名、信息完整性验证、身份认证和访问控制、抗抵赖等，主要应用于电子政务、电子商务、电子金融等行业。

但是，正是由于上述密码模块的使用方式决定了，它通常仅会给物理计算机提供应用程序接口，而无法直接在虚拟化环境中为各个虚拟机提供应用程序接口。为了满足多个虚拟机同时使用密码模块的需求，通过IO虚拟化的方式来复用有限的外部资源是一种高效的方式。从处理器角度看，密码模块是通过一组IO资源来进行访问的，对设备相关的虚拟化又被称为IO虚拟化。

目前，已有支持SRIOV的IO硬件虚拟化技术的密码模块，可以做到在虚拟机中使用密码模块，但对硬件要求较为苛刻，不但要PCI-E密码模块硬件支持SRIOV技术还要计算机平台支持IOMMU技术，并且也仅适用PCIE接口形态，对其他硬件接口的密码模块并不支持；此外也存在IO半虚拟化技术，如virtio技术框架来模拟密码模块，也会存在一定的效率损耗；最后，还存在采用非IO虚拟化的方式共享使用密码模块的场景——采用纯软件代理，如各个虚拟机通过网络数据报文的方式，将密码业务请求交给安装了密码模块的物理计算机来间接使用密码模块，意味着密码模块使用效率低、同时带来了一定软件开销及业务延迟。

随着用户在虚拟化平台中对密码设备使用需求的日益增长，为了在服务器中保证数据加密解密、高并发处理的性能，给数据中心密码模块性能提出了更高的要求。同时，服务器上密码模块需要一种更加高效的资源利用方式来进行统一管理，从而在有限的密码模块硬件运算资源需要被大量数据密集型任务进行分享时，尽可能保证所有服务的数据处理性能，体现密码模块设备的可扩展性。

 VFIO-mdev是2016年之后Linux内核实现的一个虚拟设备（Mediated device）总线驱动模型，并在 VFIO 内核框架上进行了扩展，增加了对 mdev 这类虚拟设备的支持（mdev bus driver），从原来只支持从标准的硬件 PCI 设备和硬件 platform 设备获取透传信息，比如：PCI bar 空间，变成了既支持直接从硬件设备获取又可以从 mdev 设备驱动定义的虚拟设备接口来获取。这样，比如，当需要将一个 PCI 设备的 bar 空间作为资源切分的话，通过实现合适的 mdev 设备驱动，就可以将 bar 空间以 4KB（页面大小）为粒度，分别透传给不同虚机使用。

结合虚拟化的基本原理，不难发现，虚拟化为了保证安全性必须对敏感指令和特权指令进行模拟，对于一些影响性能但不会影响安全性的设备资源，其实应该更好地使用设备直通的思想来让虚拟机监控程序管理将这些性能相关的资源直接分配给虚拟机使用，对这些资源的操作的指令不使用指令模拟。而对于敏感指令资源，仍然使用指令的模拟。这样的设计思路，可以让虚拟设备在性能上取得接近于设备直通之后的虚拟设备的性能，同时兼具借鉴了设备模拟和半虚拟化方式下的借助虚拟机监控程序的管理模式下可以支持设备共享的功能。